2.禁止訪問Tracker服務器
在防火墻的圖形管理 Syslog（日志）中，可以查詢到關于HTTP信息的所有記錄，如果有BT下載，則在日志中發(fā)現(xiàn)相應的HTTP報文，根據(jù)報文內容可以得到 Tracker服務器信息，然后可以在防火墻中配置規(guī)則，禁止內部用戶訪問該服務器。
Tracker服務器的數(shù)量應該遠少于熱門BT網站的數(shù)量，很多網站都是轉的其他網站的Torrent，如果可以找出這些Tracker服務器的地址，這是一種非常有效方法。防火墻有圖形化管理界面，有詳細的日志記錄功能，根據(jù)查詢日志可以很容易找到Tracker服務器。

3.封閉BT下載端口
解決BT對局域網的危害，最徹底的方法是不允許進行BT下載。BT一般使用TCP的6881－6889的端口，可以在防火墻中把一些特定的種子發(fā)布站點和端口封掉，在BT下載軟件的Tracker中可以獲得這些信息；但是現(xiàn)在大多數(shù)BT軟件可以修改端口號，因此網管可以根據(jù)實際情況，在不影響正常業(yè)務的情況下盡可能將封閉的端口范圍擴大，把一些特定的種子發(fā)布站點和端口進行封閉。

4.限制用戶帶寬
限制每個用戶使用的網絡帶寬，可以明顯緩解BT對網絡的危害；同時，對于一些運營性網絡，完全禁止BT使用是不合理的，限制每個BT的使用帶寬就成為一個比較好的選擇。防火墻可以針對應用流進行較細粒度的速率限制，例如將BT用戶下載的優(yōu)先級限制為5（0最高，7最低），帶寬限制為64Kbps。這樣可以確保 BT軟件使用的同時不會影響其他業(yè)務的開展。

5.限制最大連接數(shù)
可以通過防火墻的IP Inspect特性來限制TCP最大連接數(shù)，從而達到控制BT對網絡帶寬的占用。采用IP Inspect特性還可以限制最大流數(shù)，同樣起到控制BT對網絡帶寬占用的目的。

6.使用HTTP代理對應用層協(xié)議進行過濾
在 HTTP請求報文中，攜帶了BT的特征值User-Agent：BitTorrent，因此，如果HTTP-Filter能夠將具有該特征值的HTTP的數(shù)據(jù)包過濾掉，BT客戶端便無法進行Tracker查詢，Tracker服務器便無法將peers列表返回給BT客戶端，從而有效阻截BT下載。

防火墻能夠有效地過濾特定的應用層數(shù)據(jù)包（如HTTP數(shù)據(jù)包），然后根據(jù)BT數(shù)據(jù)包中的關鍵字，就完全可以從HTTP數(shù)據(jù)包中過濾BT數(shù)據(jù)包。

wangliang